Еще недавно больше половины (68%) российских предпринимателей считали, что кибератака на их бизнес маловероятна или вовсе невозможна. К этому выводу в 2022 году пришли в аналитическом центре НАФИ. Однако, по данным Positive Technologies, за тот же год число успешных инцидентов увеличилось на 20,8%. А за первое полугодие 2023-го, согласно исследованию МТС RED, было совершено в 2 раза больше атак, чем за аналогичный период прошлого года.
Также эксперты утверждают, что в сейчас 78% всех киберинцидентов направлены именно на бизнес, а не на частных лиц. Сегодня мы расскажем, как развивается ситуация на рынке кибербезопасности и какие решения помогут предприятиям защитить свои сервисы.
Атаки на российские компании
2020-е стали эпохой расцвета кибератак. В прошлом году злоумышленники провели 911 тыс. нападений на российские компании. Многие инциденты приводили к утечке данных, перебоям в работе внутренних IT-систем и огромным финансовым и репутационным убыткам. По подсчетам аналитической компании InfoWatch, за 2022 год в сеть утекло более 667 млн. записей с персональными данными клиентов российских сервисов — это в 2,7 раз больше, чем в 2021-м. Среди основных целей, которые преследуют хакеры – остановка или нарушение работы сервиса, получение конфиденциальной информации, использование устройств частных лиц и инфраструктуры бизнеса для криптомайнинга.
Согласно исследованию Лаборатории Касперского, злоумышленники чаще всего атакуют государственные организации, промышленные и ИТ-компании. В 2022-2023 гг. жертвами преступников также стали крупные банки, авиакомпании, медицинские центры, мобильные операторы, сервисы доставки, маркетплейсы и стриминговые сервисы. Также развивается тенденция на утечки информации: с января по апрель 2023 года их количество увеличилось в 1,5 раза относительно такого же периода в 2022-м. Всего произошло 75 утечек данных крупных организаций, среди которых: программа лояльности «СберСпасибо», сеть магазинов «Спортмастер», интернет-аптека zdravcity.ru и страховая компания «Согаз».
Малый и средний бизнес (МСБ) тоже находится в зоне риска, и предпринимателям нужно защищать свои продукты и сервисы.
Как МСБ оценивает свой уровень кибербезопасности
Согласно исследованию НАФИ, в начале 2022 года две трети предпринимателей считали, что хакерские атаки обойдут их стороной, а траты на информационную безопасность желательны, но не обязательны. Практика показала обратное: около 20% нападений совершаются именно на малый и средний бизнес. Эксперты кибербезопасности отмечают, что в начале 2023 года количество хакерских атак на МСБ увеличилось более чем в 5 раз. Крупные компании становятся более подготовленными в вопросе безопасности, поэтому злоумышленники нацелились на малый и средний бизнес. Наконец предприниматели начали признавать проблему и выделять ресурсы на ее решение. Так, студия ландшафтного дизайна Botanicals за 2022 год вложила более 1,5 млн. рублей в усиление защиты своего сайта. Директор компании рассказал Forbes, что его веб-ресурс атаковали минимум раз в каждые два месяца на протяжении года. Обновить сайт также пришлось сервису по ремонту автомобилей «КарданБаланс»: с октября 2022 года компания вложила в перезапуск площадки 811 542 рублей.
Интересно, какой процент предпринимателей, заявлявших, что атака на их бизнес маловероятна, попали под нее за последний год?
Как защитить свой бизнес от киберпреступников?
По данным К2Тех, о расширении штата экспертов по информационной безопасности задумывались 77% представителей среднего бизнеса. Найти хорошего ИБ-специалиста непросто: по оценке Центра стратегических разработок (ЦСР), российский рынок в данной отрасли в течение ближайших лет будет в среднем расти на 24 % в год и к 2027 году составит 559 млрд рублей.
Согласно результатам опроса HeadHunter, проведенного в мае-июне 2023 года, ИБ-эксперты входят в топ-10 самых востребованных IT-специалистов. Некоторые компании закрывают потребность в «безопасниках» с помощью собственных сотрудников, выращивая из них Security Champions. Но количество новых уязвимостей ежегодно увеличивается, и, чтобы минимизировать ручной труд ИБ-экспертов, на помощь приходят сервисы по анализу защищенности цифровых продуктов.
Очень важно использовать доступные инструменты для поиска уязвимостей и предотвращения атак. Вот здесь мы собрали некоторые из них:
- Nikto – сервис по поиску известных уязвимостей в веб-приложениях и программном обеспечении, имеет простой и нтуитивно понятный интерфейс
- XSpider – сканер уязвимостей. Проводит тесты на проникновение, проверяет веб-приложения сторонней и внутренней разработки.
- Стингрей – платформа анализа защищенности мобильных приложений, партнер SwordfishSecurity. Находит более 80 типов уязвимостей без доступа к исходному коду, умеет автоматизировать поиск, есть в облачном и on-prem форматах
- AppSec.Track – сервис предотвращения атак на цепочку поставок ПО через компоненты с открытым исходным кодом. Реализует практики OSA и SCA
- AppSec.Hub – платформа для управления практиками DevSecOps в процессе разработки программного обеспечения
Вывод
Кибербезопасность сегодня стала важной частью не только крупного, но и среднего бизнеса – любая компания может быть атакована. К сожалению, на рынке нет практики озвучивать суммы ущерба от ИБ-инцидентов, но скорее всего, они сильно превышают уставной капитал компаний. Следить за защищенностью ПО можно с помощью внутренних экспертов и автоматизированных решений. Советуем не ждать момента, когда успешная кибератака найдет ваш бизнес – позаботьтесь о безопасности ваших сервисов заблаговременно.
